¿Su organización necesita marcos de trabajo NIST, CSC, ISO o FAIR? He aquí cómo empezar a dar sentido a los marcos de seguridad.
Este conjunto de directrices del Instituto Nacional de Estándares y Tecnología está diseñado para facilitar la implementación de la ciberseguridad.
Los profesionales de la ciberseguridad a menudo se enfrentan a la maldición de entender tanto la ciberseguridad que es difícil comunicarla en términos sencillos a los que están fuera del campo de la ciberseguridad. Pero los marcos de trabajo de ciberseguridad pueden hacer que sea más fácil para todos en el negocio entender, comprender y comunicar sobre la seguridad, dijo Frank Kim, fundador de la consultora de seguridad ThinkSec y director de currículo del SANS Institute, en una sesión del miércoles en RSA 2019.
Más información sobre ciberseguridad
El problema con los marcos de seguridad comunes es que a menudo involucran PDFs largos que pueden llevar a más confusión, dijo Kim. Para facilitar la comprensión de los marcos de ciberseguridad, los dividió en tres categorías: Marcos de control, marcos de programas y marcos de riesgo.
VER: Construir un marco basado en la arquitectura empresarial (Tech Pro Research)
Kim usó la analogía de una persona que se convierte en chef para describir cada uno de estos marcos. Antes de que un chef comience a cocinar, debe elaborar una lista de ingredientes para sus alimentos: el marco de control. Luego, necesitan determinar la receta para ensamblar esos ingredientes en una comida: el marco del programa. Finalmente, necesitan averiguar dónde van a servir esa comida, en términos de lo que sus clientes quieren en una experiencia de restaurante: el marco de riesgo.
A continuación se explican los tres tipos de marcos de seguridad:
1. Marcos de control
Ejemplos: NIST 800-53; Controles CIS (CSC)
A menudo, cuando un profesional de la seguridad entra en un nuevo entorno para crear y gestionar un equipo, está tratando con una organización que es relativamente inmadura desde una perspectiva de TI y seguridad, dijo Kim. En esos casos, quieren determinar el conjunto básico de controles a implementar.
Los profesionales de la ciberseguridad utilizan marcos de control para hacer lo siguiente, según Kim:
- Identificar un conjunto de controles de referencia
- Evaluar el estado de las capacidades técnicas
- Dar prioridad a la implementación de controles
- Desarrollar una hoja de ruta inicial para el equipo de seguridad
NIST SP 800-53 es un catálogo de control integral de controles de seguridad y privacidad, en el cual el control puede ser implementado en base a líneas de base de control prioritarias o seguras (bajo impacto, impacto moderado o alto impacto. CIS Controls, por su parte, ha publicado los 20 controles de seguridad más importantes, que utiliza el Departamento de Estado de Estados Unidos, dijo Kim.
VER: Plantilla de política de seguridad de red (Tech Pro Research)
2. Marcos programáticos
Ejemplos: ISO 27001; NIST CSF
Los profesionales de la ciberseguridad utilizan un marco de trabajo programático para hacer lo siguiente, según Kim:
- Evaluar el estado del programa de seguridad general
- Cree un programa de seguridad completo
- Medir la madurez y realizar comparaciones de la industria
- Simplificar las comunicaciones con los líderes empresariales
La serie ISO 27000 es una familia de normas relacionadas con la seguridad de la información, dijo Kim. ISO 27001 involucra los requisitos del sistema de gestión de seguridad de la información y define las áreas de enfoque en la construcción de un programa de seguridad, incluyendo el contexto organizacional, el liderazgo, la planificación, el apoyo, la documentación, la operación, la evaluación del desempeño y la mejora, agregó.
El Marco de Ciberseguridad del NIST (CSF) ayuda a identificar, proteger, detectar, responder y recuperar, dijo Kim. Se compone de tres partes -Núcleo, Niveles de Implementación y Perfiles- y define un lenguaje común para la gestión del riesgo. Esto ayuda a las organizaciones a preguntarse, ¿Qué estamos haciendo hoy? ¿Cómo lo estamos haciendo? ¿Adónde queremos ir? ¿Cuándo queremos llegar allí?, dijo Kim.
Los marcos de control y de programas se pueden usar juntos y apoyarse mutuamente, y el mapeo los conecta entre sí, dijo Kim.
3. Marcos de riesgo
Ejemplos: NIST 800-39, 800-37, 800-30; ISO 27005; FAIR
Los marcos de riesgo permiten a los profesionales de la ciberseguridad asegurarse de que están gestionando su programa de una manera útil para las partes interesadas de toda la organización, y ayudan a determinar cómo priorizar las actividades de seguridad, dijo Kim.
Los profesionales de la ciberseguridad utilizan marcos de riesgo para hacer lo siguiente, según Kim:
- Definir los pasos clave del proceso para evaluar y gestionar el riesgo
- Estructurar el programa de gestión de riesgos
- Identificar, medir y cuantificar el riesgo
- Dar prioridad a las actividades de seguridad
NIST Security ofrece tres conocidos marcos de trabajo relacionados con el riesgo: NIST SP 800-39 (define el proceso general de gestión de riesgos), NIST SP 800-37 (el marco de gestión de riesgos para los sistemas de información federales) y NIST SP 800-30 (progreso de la evaluación de riesgos. La ISO 27005 define un enfoque sistemático para la gestión del riesgo para una organización, mientras que FAIR es un estándar internacional apoyado por dos organizaciones, dijo Kim.
Introducción a un marco de seguridad cibernética
Las empresas pueden tomar las siguientes medidas para comenzar a determinar el marco de seguridad adecuado, dijo Kim:
- Inmediatamente: Identificar los marcos de seguridad que ya está utilizando en su organización
- Dentro de tres meses: Determinar cómo esos marcos aprovechan sus fortalezas y se mapean entre sí para cumplir con los objetivos de cumplimiento y regulación.
- Dentro de seis meses: Actualice su plan del programa de seguridad para aprovechar cada uno de los tres marcos y socializar el plan con los líderes técnicos, de operaciones y ejecutivos.
«A medida que madura su programa de seguridad, puede elegir uno o más marcos de trabajo de cada categoría para trabajar juntos y mejorar el estado de sus actividades de seguridad en general», dijo Kim.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves